SIST EN ISO/IEC 27002:2022
(Main)Information security, cybersecurity and privacy protection - Information security controls (ISO/IEC 27002:2022)
Information security, cybersecurity and privacy protection - Information security controls (ISO/IEC 27002:2022)
This document provides a reference set of generic information security controls including implementation guidance. This document is designed to be used by organizations:
a) within the context of an information security management system (ISMS) based on ISO/IEC27001;
b) for implementing information security controls based on internationally recognized best practices;
c) for developing organization-specific information security management guidelines.
Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre - Informationssicherheitsmaßnahmen (ISO/IEC 27002:2022)
Dieses Dokument enthält einen Referenzsatz allgemeiner Informationssicherheitsmaßnahmen einschließlich einer Anleitung zur Umsetzung. Dieses Dokument wurde für Organisationen entwickelt:
a) im Rahmen eines Informationssicherheitsmanagementsystems (ISMS) auf der Basis von ISO/IEC 27001;
b) für die Umsetzung von Informationssicherheitsmaßnahmen auf der Grundlage international anerkannter bewährter Verfahren;
c) zur Entwicklung organisationsspezifischer Leitlinien für das Management der Informationssicherheit.
Sécurité de l'information, cybersécurité et protection de la vie privée - Mesures de sécurité de l'information (ISO/IEC 27002:2022)
Le présent document fournit un ensemble de référence de mesures de sécurité de l'information génériques, y compris des recommandations de mise en œuvre. Le présent document est conçu pour être utilisé par les organisations:
a) dans le contexte d'un système de gestion de la sécurité de l'information (SMSI) selon l'ISO/IEC 27001;
b) pour la mise en œuvre de mesures de sécurité de l'information basées sur les bonnes pratiques reconnues au niveau international;
c) pour l'élaboration des recommandations de gestion de la sécurité de l'information spécifiques à une organisation.
Informacijska varnost, kibernetska varnost in varstvo zasebnosti - Kontrole informacijske varnosti (ISO/IEC 27002:2022)
Ta dokument podaja referenčni nabor splošnih kontrol informacijske varnosti, vključno z napotki za izvajanje. Dokument je zasnovan za organizacije:
a) znotraj okvira sistema vodenja informacijske varnosti (ISMS) na podlagi standarda ISO/IEC 27001;
b) za izvajanje kontrol informacijske varnosti na podlagi mednarodno priznanih najboljših praks;
c) za oblikovanje lastnih smernic za vodenje informacijske varnosti.
General Information
Relations
Standards Content (Sample)
SLOVENSKI STANDARD
01-december-2022
Nadomešča:
SIST EN ISO/IEC 27002:2017
Informacijska varnost, kibernetska varnost in varovanje zasebnosti - Kontrole
informacijske varnosti (ISO/IEC 27002:2022)
Information security, cybersecurity and privacy protection - Information security controls
(ISO/IEC 27002:2022)
Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre -
Informationssicherheitsmaßnahmen (ISO/IEC 27002:2022)
Sécurité de l'information, cybersécurité et protection de la vie privée - Mesures de
sécurité de l'information (ISO/IEC 27002:2022)
Ta slovenski standard je istoveten z: EN ISO/IEC 27002:2022
ICS:
03.100.70 Sistemi vodenja Management systems
35.030 Informacijska varnost IT Security
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.
EUROPEAN STANDARD EN ISO/IEC 27002
NORME EUROPÉENNE
EUROPÄISCHE NORM
November 2022
ICS 35.030
Supersedes EN ISO/IEC 27002:2017
English version
Information security, cybersecurity and privacy protection
- Information security controls (ISO/IEC 27002:2022)
Sécurité de l'information, cybersécurité et protection Informationssicherheit, Cybersicherheit und Schutz
de la vie privée - Moyens de maîtrise de l'information der Privatsphäre -
(ISO/IEC 27002:2022) Informationssicherheitsmaßnahmen (ISO/IEC
27002:2022)
This European Standard was approved by CEN on 30 October 2022.
CEN and CENELEC members are bound to comply with the CEN/CENELEC Internal Regulations which stipulate the conditions for
giving this European Standard the status of a national standard without any alteration. Up-to-date lists and bibliographical
references concerning such national standards may be obtained on application to the CEN-CENELEC Management Centre or to
any CEN and CENELEC member.
This European Standard exists in three official versions (English, French, German). A version in any other language made by
translation under the responsibility of a CEN and CENELEC member into its own language and notified to the CEN-CENELEC
Management Centre has the same status as the official versions.
CEN and CENELEC members are the national standards bodies and national electrotechnical committees of Austria, Belgium,
Bulgaria, Croatia, Cyprus, Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Iceland, Ireland, Italy,
Latvia, Lithuania, Luxembourg, Malta, Netherlands, Norway, Poland, Portugal, Republic of North Macedonia, Romania, Serbia,
Slovakia, Slovenia, Spain, Sweden, Switzerland, Türkiye and United Kingdom.
CEN-CENELEC Management Centre:
Rue de la Science 23, B-1040 Brussels
© 2022 CEN/CENELEC All rights of exploitation in any form and by any means
Ref. No. EN ISO/IEC 27002:2022 E
reserved worldwide for CEN national Members and for
CENELEC Members.
Contents Page
European foreword . 3
European foreword
The text of ISO/IEC 27002:2022 has been prepared by Technical Committee ISO/IEC JTC 1 "Information
technology” of the International Organization for Standardization (ISO) and has been taken over as
Protection” the secretariat of which is held by DIN.
This European Standard shall be given the status of a national standard, either by publication of an
identical text or by endorsement, at the latest by May 2023, and conflicting national standards shall be
withdrawn at the latest by May 2023.
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. CEN-CENELEC shall not be held responsible for identifying any or all such patent rights.
This document supersedes EN ISO/IEC 27002:2017.
Any feedback and questions on this document should be directed to the users’ national standards body.
A complete listing of these bodies can be found on the CEN and CENELEC websites.
According to the CEN-CENELEC Internal Regulations, the national standards organizations of the
following countries are bound to implement this European Standard: Austria, Belgium, Bulgaria,
Croatia, Cyprus, Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Iceland,
Ireland, Italy, Latvia, Lithuania, Luxembourg, Malta, Netherlands, Norway, Poland, Portugal, Republic of
North Macedonia, Romania, Serbia, Slovakia, Slovenia, Spain, Sweden, Switzerland, Türkiye and the
United Kingdom.
Endorsement notice
The text of ISO/IEC 27002:2022 has been approved by CEN-CENELEC as EN ISO/IEC 27002:2022
without any modification.
INTERNATIONAL ISO/IEC
STANDARD 27002
Third edition
2022-02
Corrected version
2022-03
Information security, cybersecurity
and privacy protection — Information
security controls
Sécurité de l'information, cybersécurité et protection de la vie
privée — Mesures de sécurité de l'information
Reference number
ISO/IEC 27002:2022(E)
© ISO/IEC 2022
ISO/IEC 27002:2022(E)
© ISO/IEC 2022
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
© ISO/IEC 2022 – All rights reserved
ISO/IEC 27002:2022(E)
Contents Page
Foreword . vi
Introduction .vii
1 Scope . 1
2 Normative references . 1
3 Terms, definitions and abbreviated terms . 1
3.1 Terms and definitions . 1
3.2 Abbreviated terms . 6
4 Structure of this document .7
4.1 Clauses . 7
4.2 Themes and attributes . 8
4.3 Control layout . 9
5 Organizational controls . 9
5.1 Policies for information security . . 9
5.2 Information security roles and responsibilities . 11
5.3 Segregation of duties. 12
5.4 Management responsibilities .13
5.5 Contact with authorities . 14
5.6 Contact with special interest groups . 15
5.7 Threat intelligence .15
5.8 Information security in project management . 17
5.9 Inventory of information and other associated assets . 18
5.10 Acceptable use of information and other associated assets . 20
5.11 Return of assets . 21
5.12 Classification of information . 22
5.13 Labelling of information .23
5.14 Information transfer . 24
5.15 Access control . 27
5.16 Identity management . 29
5.17 Authentication information . 30
5.18 Access rights . 32
5.19 Information security in supplier relationships . 33
5.20 Addressing information security within supplier agreements . 35
5.21 Managing information security in the ICT supply chain . 37
5.22 Monitoring, review and change management of supplier services .39
5.23 Information security for use of cloud services . 41
5.24 Information security incident management planning and preparation . 43
5.25 Assessment and decision on information security events . 45
5.26 Response to information security incidents . 45
5.27 Learning from information security incidents .46
5.28 Collection of evidence . . 47
5.29 Information security during disruption .48
5.30 ICT readiness for business continuity .48
5.31 Legal, statutory, regulatory and contractual requirements .50
5.32 Intellectual property rights . 51
5.33 Protection of records . 53
5.34 Privacy and protection of PII .54
5.35 Independent review of information security . 55
5.36 Compliance with policies, rules and standards for information security .56
5.37 Documented operating procedures . 57
6 People controls .58
6.1 Screening .58
6.2 Terms and conditions of employment . 59
iii
© ISO/IEC 2022 – All rights reserved
ISO/IEC 27002:2022(E)
6.3 Information security awareness, education and training .60
6.4 Disciplinary process . 62
6.5 Responsibilities after termination or change of employment.63
6.6 Confidentiality or non-disclosure agreements .63
6.7 Remote working .65
6.8 Information security event reporting.66
7 Physical controls .67
7.1 Physical security perimeters . 67
7.2 Physical entry .68
7.3 Securing offices, rooms and facilities . 70
7.4 Physical security monitoring . . 70
7.5 Protecting against physical and environmental threats . 71
7.6 Working in secure areas .72
7.7 Clear desk and clear screen .73
7.8 Equipment siting and protection .74
7.9 Security of assets off-premises .75
7.10 Storage media . 76
7.11 Supporting utilities .77
7.12 Cabling security . 78
7.13 Equipment maintenance .79
7.14 Secure disposal or re-use of equipment .80
8 Technological controls .81
8.1 User endpoint devices . 81
8.2 Privileged access rights .83
8.3 Information access restriction .84
8.4 Access to source code .86
8.5 Secure authentication .87
8.6 Capacity management .89
8.7 Protection against malware .90
8.8 Management of technical vulnerabilities . 92
8.9 Configuration management . 95
8.10 Information deletion . 97
8.11 Data masking .98
8.12 Data leakage prevention .100
8.13 Information backup.101
8.14 Redundancy of information processing facilities .102
8.15 Logging .103
8.16 Monitoring activities .106
8.17 Clock synchronization .108
8.18 Use of privileged utility programs .109
8.19 Installation of software on operational systems . 110
8.20 Networks security . 111
8.21 Security of network services .112
8.22 Segregation of networks .113
8.23 Web filtering . 114
8.24 Use of cryptography .115
8.25 Secure development life cycle . 117
8.26 Application security requirements . 118
8.27 Secure system architecture and engineering principles .120
8.28 Secure coding.122
8.29 Security testing in development and acceptance .124
8.30 Outsourced development .126
8.31 Separation of development, test and production environments.127
8.32 Change management .128
8.33 Test information .129
8.34 Protection of information systems during audit testing .130
Annex A (informative) Using attributes . 132
iv
© ISO/IEC 2022 – All rights reserved
ISO/IEC 27002:2022(E)
Annex B (informative) Correspondence of ISO/IEC 27002:2022 (this document) with ISO/
IEC 27002:2013 . 143
Bibliography . 150
v
© ISO/IEC 2022 – All rights reserved
ISO/IEC 27002:2022(E)
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical
activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international
organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the
work.
The procedures used to develop this document and those intended for its further maintenance
are described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria
needed for the different types of document should be noted. This document was drafted in
accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives or
www.iec.ch/members_experts/refdocs).
Attention is drawn to the possibility that some of the elements of this document may be the subject
of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent
rights. Details of any patent rights identified during the development of the document will be in the
Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents) or the IEC
list of patent declarations received (see patents.iec.ch).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see
www.iso.org/iso/foreword.html. In the IEC, see www.iec.ch/understanding-standards.
’This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, Information security, cybersecurity and privacy protection.
This third edition cancels and replaces the second edition (ISO/IEC 27002:2013), which has been
technically revised. It also incorporates the Technical Corrigenda ISO/IEC 27002:2013/Cor. 1:2014 and
ISO/IEC 27002:2013/Cor. 2:2015.
The main changes are as follows:
— the title has been modified;
— the structure of the document has been changed, presenting the controls using a simple taxonomy
and associated attributes;
— some controls have been merged, some deleted and several new controls have been introduced. The
complete correspondence can be found in Annex B.
This corrected version of ISO/IEC 27002:2022 incorporates the following corrections:
— non-functioning hyperlinks throughout the document have been restored;
— in the introductory table in subclause 5.22 and in Table A.1 (row 5.22), "#information_security_
assurance" has been moved from the column headed "Security domains" to the column headed
"Operational capabilities".
Any feedback or questions on this document should be directed to the user’s national standards
body. A complete listing of these bodies can be found at www.iso.org/members.html and
www.iec.ch/national-committees.
vi
© ISO/IEC 2022 – All rights reserved
ISO/IEC 27002:2022(E)
Introduction
0.1 Background and context
This document is designed for organizations of all types and sizes. It is to be used as a reference for
determining and implementing controls for information security risk treatment in an information
security management system (ISMS) based on ISO/IEC 27001. It can also be used as a guidance
document for organizations determining and implementing commonly accepted information security
controls. Furthermore, this document is intended for use in developing industry and organization-
specific information security management guidelines, taking into consideration their specific
information security risk environment(s). Organizational or environment-specific controls other than
those included in this document can be determined through risk assessment as necessary.
Organizations of all types and sizes (including public and private sector, commercial and non-profit)
create, collect, process, store, transmit and dispose of information in many forms, including electronic,
physical and verbal (e.g. conversations and presentations).
The value of information goes beyond written words, numbers and images: knowledge, concepts, ideas
and brands are examples of intangible forms of information. In an interconnected world, information
and other associated assets deserve or require protection against various risk sources, whether natural,
accidental or deliberate.
Information security is achieved by implementing a suitable set of controls, including policies, rules,
processes, procedures, organizational structures and software and hardware functions. To meet its
specific security and business objectives, the organization should define, implement, monitor, review
and improve these controls where necessary. An ISMS such as that specified in ISO/IEC 27001 takes a
holistic, coordinated view of the organization’s information security risks in order to determine and
implement a comprehensive suite of information security controls within the overall framework of a
coherent management system.
Many information systems, including their management and operations, have not been designed to be
secure in terms of an ISMS as specified in ISO/IEC 27001 and this document. The level of security that
can be achieved only through technological measures is limited and should be supported by appropriate
management activities and organizational processes. Identifying which controls should be in place
requires careful planning and attention to detail while carrying out risk treatment.
A successful ISMS requires support from all personnel in the organization. It can also require
participation from other interested parties, such as shareholders or suppliers. Advice from subject
matter experts can also be needed.
A suitable, adequate and effective information security management system provides assurance to the
organization’s management and other interested parties that their information and other associated
assets are kept reasonably secure and protected against threats and harm, thereby enabling the
organization to achieve the stated business objectives.
0.2 Information security requirements
It is essential that an organization determines its information security requirements. There are three
main sources of information security requirements:
a) the assessment of risks to the organization, taking into account the organization’s overall business
strategy and objectives. This can be facilitated or supported through an information security-
specific risk assessment. This should result in the determination of the controls necessary to
ensure that the residual risk to the organization meets its risk acceptance criteria;
b) the legal, statutory, regulatory and contractual requirements that an organization and its
interested parties (trading partners, service providers, etc.) have to comply with and their socio-
cultural environment;
vii
© ISO/IEC 2022 – All rights reserved
ISO/IEC 27002:2022(E)
c) the set of principles, objectives and business requirements for all the steps of the life cycle of
information that an organization has developed to support its operations.
0.3 Controls
A control is defined as a measure that modifies or maintains risk. Some of the controls in this document
are controls that modify risk, while others maintain risk. An information security policy, for example,
can only maintain risk, whereas compliance with the information security policy can modify risk.
Moreover, some controls describe the same generic measure in different risk contexts. This document
provides a generic mixture of organizational, people, physical and technological information security
controls derived from internationally recognized best practices.
0.4 Determining controls
Determining controls is dependent on the organization’s decisions following a risk assessment, with
a clearly defined scope. Decisions related to identified risks should be based on the criteria for risk
acceptance, risk treatment options and the risk management approach applied by the organization. The
determination of controls should also take into consideration all relevant national and international
legislation and regulations. Control determination also depends on the manner in which controls
interact with one another to provide defence in depth.
The organization can design controls as required or identify them from any source. In specifying such
controls, the organization should consider the resources and investment needed to implement and
operate a control against the business value realized. See ISO/IEC TR 27016 for guidance on decisions
regarding the investment in an ISMS and the economic consequences of these decisions in the context of
competing requirements for resources.
There should be a balance between the resources deployed for implementing controls and the potential
resulting business impact from security incidents in the absence of those controls. The results of a
risk assessment should help guide and determine the appropriate management action, priorities for
managing information security risks and for implementing controls determined necessary to protect
against these risks.
Some of the controls in this document can be considered as guiding principles for information security
management and as being applicable for most organizations. More information about determining
controls and other risk treatment options can be found in ISO/IEC 27005.
0.5 Developing organization-specific guidelines
This document can be regarded as a starting point for developing organization-specific guidelines.
Not all of the controls and guidance in this document can be applicable to all organizations. Additional
controls and guidelines not included in this document can also be required to address the specific needs
of the organization and the risks that have been identified. When documents are developed containing
additional guidelines or controls, it can be useful to include cross-references to clauses in this document
for future reference.
0.6 Life cycle considerations
Information has a life cycle, from creation to disposal. The value of, and risks to, information can vary
throughout this life cycle (e.g. unauthorized disclosure or theft of a company’s financial accounts is
not significant after they have been published, but integrity remains critical) therefore, information
security remains important to some extent at all stages.
Information systems and other assets relevant to information security have life cycles within which
they are conceived, specified, designed, developed, tested, implemented, used, maintained and
eventually retired from service and disposed of. Information security should be considered at every
stage. New system development projects and changes to existing systems provide opportunities to
improve security controls while taking into account the organization’s risks and lessons learned from
incidents.
viii
© ISO/IEC 2022 – All rights reserved
ISO/IEC 27002:2022(E)
0.7 Related International Standards
While this document offers guidance on a broad range of information security controls that are
commonly applied in many different organizations, other documents in the ISO/IEC 27000 family
provide complementary advice or requirements on other aspects of the overall process of managing
information security.
Refer to ISO/IEC 27000 for a general introduction to both ISMS and the family of documents.
ISO/IEC 27000 provides a glossary, defining most of the terms used throughout the ISO/IEC 27000
family of documents, and describes the scope and objectives for each member of the family.
There are sector-specific standards that have additional controls which aim at addressing specific
areas (e.g. ISO/IEC 27017 for cloud services, ISO/IEC 27701 for privacy, ISO/IEC 27019 for energy,
ISO/IEC 27011 for telecommunications organizations and ISO 27799 for health). Such standards are
included in the Bibliography and some of them are referenced in the guidance and other information
sections in Clauses 5-8.
ix
© ISO/IEC 2022 – All rights reserved
INTERNATIONAL STANDARD ISO/IEC 27002:2022(E)
Information security, cybersecurity and privacy
protection — Information security controls
1 Scope
This document provides a reference set of generic information security controls including
implementation guidance. This document is designed to be used by organizations:
a) within the context of an information security management system (ISMS) based on ISO/IEC 27001;
b) for implementing information security controls based on internationally recognized best practices;
c) for developing organization-specific information security management guidelines.
2 Normative references
There are no normative references in this document.
3 Terms, definitions and abbreviated terms
3.1 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
3.1.1
access control
means to ensure that physical and logical access to assets (3.1.2) is authorized and restricted based on
business and information security requirements
3.1.2
asset
anything that has value to the organization
Note 1 to entry: In the context of information security, two kinds of assets can be distinguished:
— the primary assets:
— information;
— business processes (3.1.27) and activities;
— the supporting assets (on which the primary assets rely) of all types, for example:
— hardware;
— software;
— network;
— personnel (3.1.20);
© ISO/IEC 2022 – All rights reserved
ISO/IEC 27002:2022(E)
— site;
— organization’s structure.
3.1.3
attack
successful or unsuccessful unauthorized attempt to destroy, alter, disable, gain access to an asset (3.1.2)
or any attempt to expose, steal, or make unauthorized use of an asset (3.1.2)
3.1.4
authentication
provision of assurance that a claimed characteristic of an entity (3.1.11) is correct
3.1.5
authenticity
property that an entity (3.1.11) is what it claims to be
3.1.6
chain of custody
demonstrable possession, movement, handling and location of material from one point in time until
another
Note 1 to entry: Material includes information and other associated assets (3.1.2) in the context of ISO/IEC 27002.
[SOURCE: ISO/IEC 27050-1:2019, 3.1, modified — “Note 1 to entry” added]
3.1.7
confidential information
information that is not intended to be made available or disclosed to unauthorized individuals, entities
(3.1.11) or processes (3.1.27)
3.1.8
control
measure that maintains and/or modifies risk
Note 1 to entry: Controls include, but are not limited to, any process (3.1.27), policy (3.1.24), device, practice or
other conditions and/or actions which maintain and/or modify risk.
Note 2 to entry: Controls may not always exert the intended or assumed modifying effect.
[SOURCE: ISO 31000:2018, 3.8]
3.1.9
disruption
incident, whether anticipated or unanticipated, that causes an unplanned, negative deviation from the
expected delivery of products and services according to an organization’s objectives
[SOURCE: ISO 22301:2019, 3.10]
3.1.10
endpoint device
network connected information and communication technology (ICT) hardware device
Note 1 to entry: Endpoint device can refer to desktop computers, laptops, smart phones, tablets, thin clients,
printers or other specialized hardware including smart meters and Internet of things (IoT) devices.
3.1.11
entity
item relevant for the purpose of operation of a domain that has recognizably distinct existence
Note 1 to entry: An entity can have a physical or a logical embodiment.
© ISO/IEC 2022 – All rights reserved
ISO/IEC 27002:2022(E)
EXAMPLE A person, an organization, a device, a group of such items, a human subscriber to a telecom
service, a SIM card, a passport, a network interface card, a software application, a service or a website.
[SOURCE: ISO/IEC 24760-1:2019, 3.1.1]
3.1.12
information processing facility
any information processing system, service or infrastructure, or the physical location housing it
[SOURCE: ISO/IEC 27000:2018, 3.27, modified — "facilities" has been replaced with facility.]
3.1.13
information security breach
compromise of information security that leads to the undesired destruction, loss, alteration, disclosure
of, or access to, protected information transmitted, stored or otherwise proces
...
SIST EN ISO/IEC 27002
SL O V EN S K I
S T ANDAR D
december 2022
Informacijska varnost, kibernetska varnost in varstvo zasebnosti – Kontrole
informacijske varnosti (ISO/IEC 27002:2022)
Information security, cybersecurity and privacy protection – Information security
controls (ISO/IEC 27002:2022)
Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre –
Informationssicherheitsmaßnahmen (ISO/IEC 27002:2022)
Sécurité de l'information, cybersécurité et protection de la vie privée – Mesures
de sécurité de l'information (ISO/IEC 27002:2022)
Referenčna oznaka
ICS 03.100.70; 35.030 SIST EN ISO/IEC 27002:2022 (sl)
Nadaljevanje na straneh II ter od 2 do 171
© 2025-09. Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.
SIST EN ISO/IEC 27002 : 2022
NACIONALNI UVOD
Standard SIST EN ISO/IEC 27002 (sl), Informacijska varnost, kibernetska varnost in varstvo
zasebnosti – Kontrole informacijske varnosti (ISO/IEC 27002:2022), 2022, ima status slovenskega
standarda in je enakovreden evropskemu standardu EN ISO/IEC 27002 (en, fr, de), Information
security, cybersecurity and privacy protection – Information security controls (ISO/IEC 27002:2022),
2022.
NACIONALNI PREDGOVOR
Besedilo standarda EN ISO/IEC 27002:2022 je pripravil združeni tehnični odbor Evropskega komiteja
za standardizacijo CEN-CENELEC/JTC 13 Kibernetska varnost in varstvo podatkov. Slovenski
standard SIST EN ISO/IEC 27002:2022 je prevod angleškega besedila evropskega standarda EN
ISO/IEC 27002:2022. V primeru spora glede besedila slovenskega prevoda v tem standardu je
odločilen izvirni evropski standard v angleškem jeziku. Slovensko izdajo standarda je pripravil
SIST/TC ITC Informacijska tehnologija.
Odločitev za privzem tega standarda je dne 29. novembra 2022 sprejel SIST/TC ITC Informacijska
tehnologija.
OSNOVA ZA IZDAJO STANDARDA
̶ privzem standarda EN ISO/IEC 27002:2022
PREDHODNA IZDAJA
̶ SIST EN ISO/IEC 27002:2017, Informacijska tehnologija – Varnostne tehnike – Pravila obnašanja
pri kontrolah informacijske varnosti (ISO/IEC 27002:2013, vključno s popravkoma Cor 1:2014 in
Cor 2:2015)
OPOMBE
̶ Povsod, kjer se v besedilu standarda uporablja izraz "evropski standard", v SIST EN ISO/IEC
27002:2022 to pomeni "slovenski standard".
̶ Nacionalni uvod in nacionalni predgovor nista sestavni del standarda.
̶ Ta nacionalni dokument je enakovreden EN ISO/IEC 27002:2022 in je objavljen z dovoljenjem
CEN-CENELEC
Upravni center
Rue de la Science 23
B-1040 Bruselj
̶ This national document is identical with EN ISO 27002:2022 and is published with the permission
of
CEN-CENELEC
Management Centre
Rue de la Science 23
B-1040 Brussels
II
EVROPSKI STANDARD EN ISO/IEC 27002
EUROPEAN STANDARD
NORME EUROPÉENNE
November 2022
EUROPÄISCHE NORM
ICS 35.030 Nadomešča EN ISO/IEC 27002:2017
Slovenska izdaja
Informacijska varnost, kibernetska varnost in varstvo zasebnosti –
Kontrole informacijske varnosti (ISO/IEC 27002:2022)
Information security, cybersecurity Sécurité de l'information, Informationssicherheit,
and privacy protection – cybersécurité et protection de la Cybersicherheit und Schutz der
Information security controls vie privée – Moyens de maîtrise de Privatsphäre –
(ISO/IEC 27002:2022) l'information (ISO/IEC 27002:2022) Informationssicherheitsmaßnahmen
(ISO/IEC 27002:2022)
Ta evropski standard je CEN sprejel 30. oktobra 2022.
Člani CEN in CENELEC morajo izpolnjevati notranje predpise CEN/CENELEC, s katerimi je predpisano, da mora biti ta
standard brez kakršnihkoli sprememb sprejet kot nacionalni standard. Seznami najnovejših izdaj teh nacionalnih
standardov in njihovi bibliografski podatki so na zahtevo na voljo pri Upravnem centru CEN-CENELEC ali kateremkoli
članu CEN in CENELEC.
Ta evropski standard obstaja v treh uradnih izdajah (angleški, francoski, nemški). Izdaje v drugih jezikih, ki jih člani
CEN in CENELEC na lastno odgovornost prevedejo in izdajo ter prijavijo pri Upravnem centru CEN-CENELEC, veljajo
kot uradne izdaje.
Člani CEN in CENELEC so nacionalni organi za standarde in nacionalni elektrotehniški odbori Avstrije, Belgije,
Bolgarije, Cipra, Češke republike, Danske, Estonije, Finske, Francije, Grčije, Hrvaške, Irske, Islandije, Italije, Latvije,
Litve, Luksemburga, Madžarske, Malte, Nemčije, Nizozemske, Norveške, Poljske, Portugalske, Republike Severna
Makedonija, Romunije, Slovaške, Slovenije, Srbije, Španije, Švedske, Švice, Turčije in Združenega kraljestva.
CEN-CENELEC
CEN-CENELEC Upravni center
Rue de la Science 23, B-1040 Bruselj
© 2022 CEN/CENELEC Lastnice vseh oblik avtorskih pravic so vse države članice Ref. oznaka EN ISO/IEC 27002:2022 E
CEN in CENELEC.
SIST EN ISO/IEC 27002 : 2022
VSEBINA Stran
Evropski predgovor . 3
SIST EN ISO/IEC 27002 : 2022
Evropski predgovor
Besedilo standarda ISO/IEC 27002:2022 je pripravil tehnični odbor ISO/IEC JTC 1 "Informacijska
tehnologija" Mednarodne organizacije za standardizacijo (ISO) in ga je kot EN ISO/IEC 27002:2022
sprejel tehnični odbor CEN-CENELEC/JTC 13 "Kibernetska varnost in varstvo podatkov", katerega
sekretariat vodi DIN.
Ta evropski standard mora z objavo istovetnega besedila ali z razglasitvijo dobiti status nacionalnega
standarda najpozneje do maja 2023, nacionalne standarde, ki so v nasprotju s tem standardom, pa je
treba razveljaviti najpozneje do maja 2023.
Opozoriti je treba na možnost, da je lahko nekaj elementov tega dokumenta predmet patentnih pravic.
CEN-CENELEC ni odgovoren za identificiranje katerekoli ali vseh takih patentnih pravic.
Ta dokument nadomešča EN ISO/IEC 27002:2017.
Uporabnik naj vse povratne informacije ali vprašanja o tem dokumentu posreduje nacionalnemu
organu za standarde v svoji državi. Celoten seznam teh organov je na voljo na spletnih mestih CEN in
CENELEC.
V skladu z notranjimi predpisi CEN-CENELEC morajo ta evropski standard obvezno uvesti nacionalne
organizacije za standardizacijo naslednjih držav: Avstrije, Belgije, Bolgarije, Cipra, Češke republike,
Danske, Estonije, Finske, Francije, Grčije, Hrvaške, Irske, Islandije, Italije, Latvije, Litve, Luksemburga,
Madžarske, Malte, Nemčije, Nizozemske, Norveške, Poljske, Portugalske, Republike Severna
Makedonija, Romunije, Slovaške, Slovenije, Srbije, Španije, Švedske, Švice, Turčije in Združenega
kraljestva.
Razglasitvena objava
Besedilo standarda ISO/IEC 27002:2022 je CEN-CENELEC odobril kot EN ISO/IEC 27002:2022 brez
sprememb.
SIST EN ISO/IEC 27002 : 2022
Vsebina Stran
Predgovor k mednarodnemu standardu . 7
Uvod .8
1 Področje uporabe . 11
2 Zveze s standardi . 11
3 Izrazi, definicije in kratice . 11
3.1 Izrazi in definicije . 11
3.2 Kratice . 16
4 Struktura tega dokumenta . 17
4.1 Točke . 17
4.2 Teme in atributi . 17
4.3 Ureditev kontrol . 19
5 Organizacijske kontrole . 19
5.1 Politike za informacijsko varnost . 19
5.2 Vloge in odgovornosti na področju informacijske varnosti. 21
5.3 Razmejitev dolžnosti . 22
5.4 Odgovornosti vodstva . 23
5.5 Stik s pristojnimi organi . 24
5.6 Stik s specifičnimi interesnimi skupinami . 25
5.7 Obveščanje o grožnjah . 25
5.8 Informacijska varnost pri vodenju projektov . 27
5.9 Seznam informacij in drugih povezanih sredstev . 28
5.10 Sprejemljiva uporaba informacij in drugih povezanih sredstev . 30
5.11 Vračilo sredstev . 31
5.12 Razvrstitev informacij . 32
5.13 Označevanje informacij . 34
5.14 Prenos informacij . 35
5.15 Nadzor dostopa . 37
5.16 Upravljanje identitete . 39
5.17 Informacije za avtentikacijo . 40
5.18 Pravice dostopa . 42
5.19 Informacijska varnost v odnosih z dobavitelji . 44
5.20 Obravnavanje informacijske varnosti v dogovorih z dobavitelji . 46
5.21 Vodenje informacijske varnosti v dobavni verigi informacijske in komunikacijske tehnologije
(IKT) . 48
5.22 Spremljanje, pregled in upravljanje sprememb storitev dobaviteljev . 50
5.23 Informacijska varnost za uporabo storitev v oblaku . 51
5.24 Načrtovanje in priprava vodenja informacijskih varnostnih incidentov . 53
5.25 Ocenjevanje informacijskih varnostnih dogodkov in odločanje o njih . 55
5.26 Odziv na informacijske varnostne incidente . 56
SIST EN ISO/IEC 27002 : 2022
5.27 Učenje iz informacijskih varnostnih incidentov . 57
5.28 Zbiranje dokazov . 58
5.29 Informacijska varnost med motnjo . 59
5.30 Pripravljenost informacijske in komunikacijske tehnologije za neprekinjeno poslovanje . 59
5.31 Pravne, zakonske, regulativne in pogodbene zahteve . 61
5.32 Pravice intelektualne lastnine . 63
5.33 Zaščita zapisov . 64
5.34 Zasebnost in zaščita osebno določljivih podatkov . 65
5.35 Neodvisni pregled informacijske varnosti . 66
5.36 Skladnost s politikami, pravili in standardi informacijske varnosti . 67
5.37 Dokumentirani postopki delovanja . 68
6 Kontrole oseb . 69
6.1 Preverjanje . 69
6.2 Določila in pogoji za zaposlitev . 71
6.3 Ozaveščenost, izobraževanje in usposabljanje o informacijski varnosti . 72
6.4 Disciplinski proces . 73
6.5 Odgovornosti po prekinitvi ali spremembi zaposlitve . 74
6.6 Dogovori o zaupnosti ali nerazkrivanju . 75
6.7 Delo na daljavo . 76
6.8 Poročanje o informacijskem varnostnem dogodku . 78
7 Fizične kontrole . 79
7.1 Varovanje fizičnih meja območja . 79
7.2 Fizični vstop . 80
7.3 Varovanje pisarn, sob in naprav . 81
7.4 Nadzor fizične varnosti. 82
7.5 Zaščita pred fizičnimi in okoljskimi grožnjami . 83
7.6 Delo na varovanih območjih . 84
7.7 Načelo čiste mize in praznega zaslona . 85
7.8 Namestitev in zaščita opreme . 86
7.9 Varnost sredstev zunaj prostorov organizacije . 87
7.10 Nosilci za shranjevanje podatkov/informacij . 88
7.11 Podporna oskrba . 90
7.12 Varnost ožičenja . 91
7.13 Vzdrževanje opreme . 92
7.14 Varna odstranitev ali ponovna uporaba opreme . 93
8 Tehnološke kontrole . 94
8.1 Končne naprave uporabnika . 94
8.2 Posebne pravice dostopa . 96
8.3 Omejitev dostopa do informacij . 97
8.4 Dostop do izvorne kode . 99
SIST EN ISO/IEC 27002 : 2022
8.5 Varna avtentikacija . 100
8.6 Upravljanje zmogljivosti . 102
8.7 Zaščita pred zlonamerno programsko opremo . 103
8.8 Upravljanje tehničnih ranljivosti . 105
8.9 Upravljanje konfiguracije . 108
8.10 Brisanje informacij . 110
8.11 Maskiranje podatkov . 111
8.12 Preprečevanje uhajanja podatkov . 113
8.13 Varnostno kopiranje informacij . 114
8.14 Redundanca naprav za obdelavo informacij . 116
8.15 Beleženje . 117
8.16 Aktivnosti spremljanja . 120
8.17 Uskladitev ur . 122
8.18 Uporaba posebnih pomožnih programov. 123
8.19 Namestitev programske opreme v operativne sisteme . 124
8.20 Varnost omrežij . 125
8.21 Varovanje omrežnih storitev . 126
8.22 Ločevanje omrežij . 128
8.23 Filtriranje spleta . 129
8.24 Uporaba kriptografije. 130
8.25 Varnost izdelkov v obdobju razvoja . 132
8.26 Zahteve varnosti aplikacij . 133
8.27 Načela varne sistemske arhitekture in inženiringa . 135
8.28 Varno kodiranje . 137
8.29 Testiranje varnosti pri razvoju in sprejetju . 139
8.30 Zunanje izvajanje razvoja . 141
8.31 Ločevanje razvojnih, testnih in proizvodnih okolij . 142
8.32 Upravljanje sprememb . 143
8.33 Testni podatki . 144
8.34 Zaščita informacijskih sistemov med preskusom presoje . 145
Dodatek A (informativni) Uporaba atributov . 147
Dodatek B (informativni) Primerjava standarda ISO/IEC 27002:2022 (ta
dokument) s standardom ISO/IEC 27002:2013 . 159
Viri in literatura . 169
SIST EN ISO/IEC 27002 : 2022
Predgovor k mednarodnemu standardu
ISO (Mednarodna organizacija za standardizacijo) in IEC (Mednarodna elektrotehniška komisija)
tvorita specializiran sistem za svetovno standardizacijo. Nacionalni organi, ki so člani ISO ali IEC,
sodelujejo pri pripravi mednarodnih standardov prek tehničnih odborov, ki jih za obravnavanje
določenih strokovnih področij ustanovi ustrezna organizacija. Tehnični odbori ISO in IEC sodelujejo na
področjih skupnega interesa. Pri delu sodelujejo tudi druge mednarodne, vladne in nevladne
organizacije, povezane z ISO in IEC.
Postopki, uporabljeni pri pripravi tega dokumenta, in predvideni postopki za njegovo vzdrževanje so
opisani v 1. delu Direktiv ISO/IEC. Posebna pozornost naj se nameni različnim merilom odobritve,
potrebnim za različne vrste dokumentov. Ta dokument je bil zasnovan v skladu z uredniškimi pravili 2.
dela Direktiv ISO/IEC (glej www.iso.org/directives ali www.iec.ch/members_experts/refdocs).
Opozoriti je treba na možnost, da bi lahko bil kateri od elementov tega dokumenta predmet patentnih
pravic. ISO in IEC nista odgovorna za identificiranje katerekoli ali vseh takih patentnih pravic.
Podrobnosti o morebitnih patentnih pravicah, identificiranih med pripravo tega dokumenta, bodo
navedene v uvodu in/ali na seznamu patentnih izjav, ki jih je prejela organizacija ISO (glej
www.iso.org/patents), ali na seznamu patentnih izjav, ki jih je prejela organizacija IEC (glej
patents.iec.ch).
Vsakršna trgovska imena, uporabljena v tem dokumentu, so informacije za uporabnike in ne pomenijo
podpore blagovni znamki.
Za razlago prostovoljne narave standardov, pomena specifičnih pojmov in izrazov ISO, povezanih z
ugotavljanjem skladnosti, ter informacij o tem, kako ISO spoštuje načela Svetovne trgovinske
organizacije (WTO) v Tehničnih ovirah pri trgovanju (TBT), glej spletno povezavo
www.iso.org/iso/foreword.html. Pri IEC glej povezavo www.iec.ch/understanding-standards.
Ta dokument je pripravil združeni tehnični odbor ISO/IEC JTC 1, Informacijska tehnologija, pododbor
SC 27, Informacijska varnost, kibernetska varnost in varstvo zasebnosti.
Ta tretja izdaja preklicuje in nadomešča drugo izdajo (ISO/IEC 27002:2013), ki je tehnično revidirana.
Vsebuje tudi tehnična popravka ISO/IEC 27002:2013/Cor. 1:2014 in ISO/IEC 27002:2013/Cor. 2:2015.
Glavne spremembe so naslednje:
‒ spremenjen je naslov;
‒ struktura dokumenta je spremenjena in predstavlja kontrole s preprosto taksonomijo in
povezanimi lastnostmi;
‒ nekatere kontrole so združene, druge izbrisane, uvedenih pa je bilo tudi nekaj novih. Celoten
seznam je na voljo v dodatku B.
Popravljena izdaja standarda ISO/IEC 27002:2022 vključuje naslednje popravke:
‒ obnovljeno je bilo delovanje nedelujočih hiperpovezav v dokumentu;
‒ v uvodni preglednici pod točko 5.22 in v preglednici A.1 (vrstica 5.22) je bil sklop
"#zagotavljanje_informacijske_varnosti" premaknjen iz stolpca "varnostne domene" v stolpec
z naslovom "operativne zmogljivosti".
Uporabnik naj vse povratne informacije ali vprašanja o tem dokumentu posreduje nacionalnemu
organu za standarde v svoji državi. Celoten seznam teh organov je na voljo na spletnih naslovih
www.iso.org/members.html in www.iec.ch/national-committees.
SIST EN ISO/IEC 27002 : 2022
Uvod
0.1 Ozadje in kontekst
Ta dokument je namenjen organizacijam vseh vrst in velikosti. Uporabljati ga je treba kot referenco za
določanje in izvajanje kontrol obravnavanja tveganj informacijske varnosti v sistemu vodenja
informacijske varnosti (ISMS) na podlagi standarda ISO/IEC 27001. Prav tako ga je mogoče
uporabljati kot dokument z napotki za organizacije pri določanju in izvajanju splošno sprejetih kontrol
informacijske varnosti. Ta dokument je namenjen tudi za uporabo pri oblikovanju smernic za vodenje
informacijske varnosti znotraj posameznih panog in organizacij, pri čemer se upoštevajo posebne
značilnosti njihovega okolja tveganj informacijske varnosti. Organizacijske kontrole ali kontrole,
specifične za okolje, ki niso vključene v ta dokument, se lahko po potrebi določi na podlagi
ocenjevanja tveganja.
Organizacije vseh vrst in velikosti (vključno z javnim in zasebnim ter pridobitnim in nepridobitnim
sektorjem) ustvarjajo, zbirajo, obdelujejo, shranjujejo in prenašajo informacije ter z njimi razpolagajo v
več oblikah, na primer elektronski, fizični in ustni (npr. pogovori in predstavitve).
Vrednost informacij presega zapisane besede, številke in slike: znanje, koncepti, ideje in blagovne
znamke so primeri nematerialnih oblik informacij. Informacije in druga povezana sredstva v
medsebojno povezanem svetu potrebujejo ali zahtevajo zaščito pred različnimi viri tveganja,
naravnimi, naključnimi ali namernimi.
Informacijska varnost se doseže z izvajanjem ustreznih naborov kontrol, vključno s politikami, pravili,
procesi, postopki, organizacijskimi strukturami ter funkcijami programske in strojne opreme.
Organizacija naj za doseganje posebnih ciljev varnosti in poslovnih ciljev opredeli, izvaja, spremlja,
pregleduje in po potrebi izboljšuje te kontrole. Sistem vodenja informacijske varnosti, kot je določen v
standardu ISO/IEC 27001, ponuja celovit in koordiniran pogled na tveganja informacijske varnosti
organizacije, da lahko določi in izvaja celovit niz kontrol informacijske varnosti v okviru doslednega
sistema vodenja.
Mnogi informacijski sistemi, vključno z njihovim vodenjem in delovanjem, niso bili zasnovani kot varni v
smislu sistema vodenja informacijske varnosti, kot je določeno v standardu ISO/IEC 27001 in tem
dokumentu. Stopnja varnosti, ki jo je mogoče doseči le s tehničnimi ukrepi, je omejena in naj bo
podprta z ustreznimi aktivnostmi vodenja in organizacijskimi procesi. Določanje, katere kontrole naj
bodo nameščene, zahteva skrbno načrtovanje in osredotočenost na podrobnosti pri obravnavanju
tveganj.
Za uspešen sistem vodenja informacijske varnosti je potrebna podpora vsega osebja v organizaciji.
Prav tako je mogoče potrebno sodelovanje drugih zainteresiranih strani, kot so delničarji ali dobavitelji.
Morda so potrebni tudi nasveti strokovnjakov s tega področja.
Primeren, ustrezen in uspešen sistem vodenja informacijske varnosti vodstvu organizacije in drugim
zainteresiranim stranem zagotavlja, da so njihove informacije in druga povezana sredstva primerno
varna ter zaščitena pred grožnjami in škodo, s tem pa organizaciji omogoča doseganje navedenih
poslovnih ciljev.
0.2 Zahteve informacijske varnosti
Bistveno je, da organizacija določi svoje zahteve informacijske varnosti. Glavni viri zahtev
informacijske varnosti so trije:
a) ocenjevanje tveganj organizacije ob upoštevanju celotne poslovne strategije in ciljev organizacije.
V pomoč in podporo pri tem je mogoče uporabiti ocenjevanje posebnih tveganj informacijske
varnosti. Tako naj se določijo kontrole, ki zagotavljajo, da preostalo tveganje za organizacijo
izpolnjuje merila za sprejetje tveganj;
b) pravne, zakonske, regulativne in pogodbene zahteve, ki jih morajo izpolniti organizacija in njene
SIST EN ISO/IEC 27002 : 2022
zainteresirane strani (trgovski partnerji, ponudniki storitev itd.), ter njihovo družbeno-kulturno
okolje;
c) nabor načel, ciljev in poslovnih zahtev za vse korake življenjskega cikla informacij, ki jih je
organizacija oblikovala za podporo svojemu delovanju.
0.3 Kontrole
Kontrola je opredeljena kot ukrep, ki spreminja ali ohranja tveganje. Nekatere kontrole v tem
dokumentu so takšne, da tveganje spreminjajo, spet druge ga ohranjajo. Informacijska varnostna
politika lahko na primer samo ohranja tveganje, medtem ko upoštevanje informacijske varnostne
politike lahko tveganje spreminja. Nekatere kontrole prav tako opisujejo enake splošne ukrepe v
različnih kontekstih tveganja. Ta dokument podaja splošen nabor organizacijskih kontrol informacijske
varnosti, kontrol informacijske varnosti v zvezi z osebami ter fizičnih in tehnoloških kontrol
informacijske varnosti, ki izhajajo iz mednarodno priznanih najboljših praks.
0.4 Določanje kontrol
Določanje kontrol je odvisno od odločitev organizacije po ocenjevanju tveganja z jasno opredeljenim
področjem uporabe. Odločitve v zvezi s prepoznanimi tveganji naj temeljijo na merilih za sprejetje
tveganja, možnostih obravnavanja tveganja in pristopu k obvladovanju tveganja, ki ga uporablja
organizacija. Pri določanju kontrol naj se prav tako upoštevajo vsi ustrezni nacionalni in mednarodni
zakoni ter predpisi. Določanje kontrol je odvisna tudi od medsebojnega vpliva kontrol za namene
zagotavljanja poglobljene zaščite.
Organizacija lahko kontrole zasnuje po potrebi ali jih opredeli na podlagi kateregakoli vira.
Organizacija naj pri določanju kontrol upošteva vire in naložbe, potrebne za izvajanje in delovanje
kontrole v primerjavi z realizirano poslovno vrednostjo. Glej standard ISO/IEC TR 27016 za smernice v
zvezi z odločitvami o naložbah v sistem vodenja informacijske varnosti in gospodarske posledice teh
odločitev v kontekstu enako pomembnih zahtev za vire.
Obstaja naj ravnovesje med uporabljenimi viri za izvajanje kontrol in morebitnim posledičnim
poslovnim vplivom varnostnih incidentov zaradi odsotnosti tovrstnih kontrol. Rezultati ocenjevanja
tveganj naj pomagajo voditi in določiti ustrezne ukrepe vodstva ter prednostne naloge za obvladovanje
tveganj informacijske varnosti in izvajanje kontrol, potrebnih za varovanje pred temi tveganji.
Nekatere kontrole v tem dokumentu je mogoče obravnavati kot vodilna načela za vodenje
informacijske varnosti in kot ustrezna za večino organizacij. Več informacij o določanju kontrol in
ostale možnosti obravnavanja tveganj so na voljo v standardu ISO/IEC 27005.
0.5 Razvoj posebnih smernic organizacije
Ta dokument je mogoče upoštevati kot izhodišče za razvoj posebnih smernic organizacije. Nekatere
kontrole in smernice v tem dokumentu ne veljajo za vse organizacije. Dodatne kontrole in smernice, ki
niso zajete v tem dokumentu, so morda potrebne za obravnavanje posebnih potreb organizacije in
prepoznanih tveganj. Pri oblikovanju dokumentov z dodatnimi kontrolami ali smernicami je morda
koristno vključiti sklice na točke v tem dokumentu za morebitne prihodnje potrebe.
0.6 Upoštevanje življenjskega cikla
Informacija ima življenjski cikel, in sicer od nastanka do uničenja. Vrednost informacij in tveganja zanje
se lahko med življenjskim ciklom spreminjajo (npr. nepooblaščeno razkritje ali kraja finančnih računov
podjetja ni pomembna, potem ko so bili že uradno objavljeni, vendar pa celovitost ostaja ključnega
pomena), zato informacijska varnost ostaja bolj ali manj pomembna v vseh obdobjih.
Informacijski sistemi in druga sredstva, pomembna za informacijsko varnost, imajo življenjske cikle,
znotraj katerih so ustvarjeni, določeni, načrtovani, razviti, preskušeni, uvedeni, uporabljeni, vzdrževani
in morebiti umaknjeni in zavrženi. Informacijska varnost naj je upoštevana v vsakem obdobju. Projekti
SIST EN ISO/IEC 27002 : 2022
razvoja novih sistemov in spremembe obstoječih sistemov ponujajo priložnosti za izboljšanje kontrol
varnosti, obenem pa upoštevajo tveganja organizacije in njene pridobljene izkušnje pri morebitnih
incidentih.
0.7 Zveze z mednarodnimi standardi
Čeprav ta dokument podaja smernice za širok nabor kontrol informacijske varnosti, ki se navadno
uporabljajo v številnih različnih organizacijah, drugi dokumenti skupine ISO/IEC 27000 podajajo
dodatne zahteve ali nasvete o drugih vidikih celotnega procesa vodenja informacijske varnosti.
Splošen uvod v sistem vodenja informacijske varnosti in skupino dokumentov je podan v standardu
ISO/IEC 27000. Standard ISO/IEC 27000 vsebuje glosar, v katerem je definirana večina izrazov, ki se
uporabljajo v skupini dokumentov ISO/IEC 27000. Ta standard opisuje tudi področje uporabe in cilje
vsakega dokumenta v skupini.
Obstajajo področni standardi, ki zajemajo dodatne kontrole za obravnavanje posebnih področij (npr.
ISO/IEC 27017 za storitve v oblaku, ISO/IEC 27701 za področje zasebnosti, ISO/IEC 27019 za
področje energetike, ISO/IEC 27011 za področje telekomunikacijskih organizacij in ISO 27799 za
področje varovanja zdravja). Ti standardi so vključeni v poglavju Viri in literatura, nekateri pa so
navedeni v smernicah in drugih informacijskih sklopih v točkah od 5 do 8.
SIST EN ISO/IEC 27002 : 2022
Informacijska varnost, kibernetska varnost in varstvo zasebnosti – Kontrole
informacijske varnosti
1 Področje uporabe
Ta dokument podaja referenčni nabor splošnih kontrol informacijske varnosti, vključno z napotki za
izvajanje. Dokument je zasnovan za organizacije:
a) znotraj okvira sistema vodenja informacijske varnosti (ISMS) na podlagi standarda
ISO/IEC 27001;
b) za izvajanje kontrol informacijske varnosti na podlagi mednarodno priznanih najboljših praks;
c) za oblikovanje lastnih smernic za vodenje informacijske varnosti.
2 Zveze s standardi
Ta dokument ne vsebuje zvez s standardi.
3 Izrazi, definicije in kratice
3.1 Izrazi in definicije
V tem dokumentu se uporabljajo naslednji izrazi in definicije.
ISO in IEC hranita terminološke podatkovne zbirke za uporabo pri standardizaciji na naslednjih
naslovih:
‒ Platforma za spletno brskanje ISO: na voljo na https://www.iso.org/obp
‒ IEC Electropedia: na voljo na https://www.electropedia.org/
3.1.1
nadzor dostopa
način zagotavljanja, da sta fizični in logični dostop do sredstev (3.1.2) pooblaščena in omejena na
podlagi poslovnih zahtev ter zahtev informacijske varnosti
3.1.2
sredstvo
vse, kar ima vrednost za organizacijo
OPOMBA: V okviru informacijske varnosti je mogoče razlikovati dve vrsti sredstev:
‒ primarna sredstva:
‒ informacije,
‒ poslovni procesi (3.1.27) in aktivnosti;
‒ podporna sredstva (na katere se opirajo primarna sredstva) vseh vrst, na primer:
‒ strojna oprema,
‒ programska oprema,
‒ omrežje,
‒ osebje (3.1.20),
‒ lokacija,
‒ struktura organizacije.
SIST EN ISO/IEC 27002 : 2022
3.1.3
napad
uspešen ali neuspešen nepooblaščen poskus uničenja, spreminjanja, onemogočanja, pridobivanja
dostopa do sredstva (3.1.2) ali kakršenkoli poskus razkritja, kraje ali nepooblaščene uporabe sredstva
(3.1.2)
3.1.4
avtentikacija
podajanje zagotovila, da je navedena značilnost subjekta (3.1.11) pravilna
3.1.5
verodostojnost
lastnost, da je subjekt (3.1.11) res to, kar trdi, da je
3.1.6
veriga skrbništva
dokazljiva posest, premikanje, upravljanje in lokacija materiala v določenem časovnem obdobju
OPOMBA: Material zajema informacije in druga povezana sredstva (3.1.2) v okviru
standarda ISO/IEC 27002.
[VIR: ISO/IEC 27050-1:2019, točka 3.1, spremenjen – dodana je bila opomba]
3.1.7
zaupne informacije
informacije, ki niso namenjene, da so na voljo ali razkrite nepooblaščenim osebam, subjektom (3.1.11)
ali procesom (3.1.27)
3.1.8
kontrola
ukrep, ki ohranja in/ali spreminja tveganje
OPOMBA 1: Kontrole med drugim vključujejo vsak proces (3.1.27), politiko (3.1.24), napravo, prakso ali druge pogoje
in/ali ukrepe, ki ohranjajo in/ali spremenijo tveganje.
OPOMBA 2: Kontrole mogoče ne bodo vedno imele nameravanega ali pričakovanega spreminjajočega učinka.
[VIR: ISO 31000:2018, 3.8]
3.1.9
motnja
pričakovan ali nepričakovan incident, ki povzroči nenačrtovano, negativno odstopanje od pričakovane
dobave izdelkov in storitev v skladu s cilji organizacije
[VIR: ISO 22301:2019, 3.10]
3.1.10
končna naprava
strojna oprema informacijske in komunikacijske tehnologije (IKT), povezana z omrežjem
OPOMBA: Končna naprava je lahko namizni računalnik, prenosni računalnik, pametni telefon, tablica, lahki
odjemalec, tiskalnik ali druga posebna strojna oprema, vključno s pametnimi števci in napravami interneta
stvari (IoT).
3.1.11
subjekt
element, pomemben za namen delovanja domene, ki ima prepoznavno ločen obstoj
OPOMBA: Subjekt je lahko v fizični ali logični obliki.
SIST EN ISO/IEC 27002 : 2022
PRIMER: Oseba, organizacija, naprava, skupina takšnih elementov, naročnik telekomunikacijske storitve, SIM-kartica,
potni list, omrežna kartica, programska aplikacija, storitev ali spletno mesto.
[VIR: ISO/IEC 24760-1:2019, 3.1.1]
3.1.12
naprava za obdelavo informacij
katerikoli sistem, storitev ali infrastruktura za obdelavo informacij ali fizična lokacija, na kateri je kaj od
naštetega
[VIR: ISO/IEC 27000:2018, 3.27, spremenjen – beseda "naprave" je bila zamenjana z besedo
naprava]
3.1.13
kršitev informacijske varnosti
ogrožanje informacijske varnosti, ki vodi v neželeno uničenje, izgubo, spreminjanje, razkritje ali dostop
do varovanih informacij, ki se prenašajo, hranijo ali kako drugače obdelujejo
3.1.14
informacijski varnostni dogodek
pojav, ki kaže na možno kršitev informacijske varnosti (3.1.13) ali odpoved kontrol (3.1.8)
[VIR: ISO/IEC 27035-1:2016, 3.3, spremenjen – izraz "informacijska varnostna kršitev" je bil zamenjan
z izrazom "kršitev informacijske varnosti"]
3.1.15
informacijski varnostni incident
eden ali več povezanih in ugotovljenih informacijskih varnostnih dogodkov (3.1.14), ki lahko škodijo
sredstvom organizacije (3.1.2) ali ogrozijo njeno delovanje
[VIR: ISO/IEC 27035-1:2016, 3.4]
3.1.16
vodenje informacijskih varnostnih incidentov
dosleden in uspešen pristop k obravnavanju informacijskih varnostnih incidentov (3.1.15)
[VIR: ISO/IEC 27035-1:2016, 3.5]
3.1.17
informacijski sistem
nabor aplikacij, storitev, sredstev informacijske tehnologije (3.1.2) ali drugih sestavnih delov za
ravnanje z informacijami
[VIR: ISO/IEC 27000:2018, 3.35]
3.1.18
zainteresirana stran
deležnik
oseba ali organizacija, ki lahko vpliva na neko odločitev ali aktivnost, na katero lahko vpliva neka
odločitev ali aktivnost ali ki domneva, da lahko neka odločitev ali dejavnost vpliva nanjo
[VIR: ISO/IEC 27000:2018, 3.37]
3.1.19
neizpodbitnost
sposobnost dokazati, da se je zatrjevani dogodek ali dejanje zgodil ter kdo so izvorni subjekti (3.1.11)
SIST EN ISO/IEC 27002 : 2022
3.1.20
osebje
osebe, ki delajo v skladu z usmeritvami organizacije
OPOMBA: Pojem osebje vključuje člane organizacije, kot so upravljavski organ, najvišje vodstvo, zaposleni, začasno
zaposleni, pogodbeniki in prostovoljci.
3.1.21
osebno določljivi podatki
PII
vsi podatki, ki (a) jih je mogoče uporabiti za vzpostavitev povezave med podatki in fizično osebo, na
katero se ti podatki nanašajo, ali (b) so ali so lahko neposredno ali posredno povezani s fizično osebo
OPOMBA: Izraz "fizična oseba" v definiciji je oseba, na katero se nanašajo osebno določljivi podatki (3.1.22). Za
namene ugotavljanja, ali je oseba, na katero se nanašajo osebno določljivi podatki, določljiva, naj se
upoštevajo vsa sredstva, ki jih lahko deležnik, ki hrani podatke, ali drug subjekt uporabi za vzpostavitev
povezave med naborom osebno določljivimi podatki in fizično osebo.
[VIR: ISO/IEC 29100:2011/Amd.1:2018, 2.9]
3.1.22
oseba, na katero se nanašajo osebno določljivi podatki
fizična oseba, na katero se nanašajo osebno določljivi podatki (3.1.21)
OPOMBA: Odvisno od pristojnosti in določene zakonodaje s področja varstva podatkov in zasebnosti se lahko
namesto izraza "oseba, na katero se nanašajo osebno določljivi podatki" uporabi tudi izraz "posameznik,
na katerega se nanašajo osebni podatki".
[VIR: ISO/IEC 29100:2011, 2.11]
3.1.23
obdelovalec PII
deležnik, ki obdeluje osebno določljive podatke (3.1.21) v imenu upravljavca osebno določljivih
podatkov in v skladu z njegovimi navodili
[VIR: ISO/IEC 29100:2011, 2.12]
3.1.24
politika
namere in usmeritev organizacije, ki jih formalno izraža njeno najvišje vodstvo
[VIR: ISO/IEC 27000:2018, 3.53]
3.1.25
ocenjevanje vpliva na zasebnost
PIA
celoten proces (3.1.27) prepoznavanja, analiziranja, vrednotenja, vpogleda, sporočanja in načrtovanja
obravnavanja morebitnih vplivov na zasebnost v zvezi z obdelavo osebno določljivih podatkov (3.1.21)
znotraj širšega okvira za obvladovanje tveganj organizacije
[VIR: ISO/IEC 29134:2017, 3.7, spremenjen – odstranjena je bila opomba]
3.1.26
postopek
poseben način za izvedbo aktivnosti ali procesa (3.1.27)
[VIR: ISO 30000:2009, 3.12]
SIST EN ISO/IEC 27002 : 2022
3.1.27
proces
skupek medsebojno povezanih ali medsebojno delujočih aktivnosti, ki uporablja ali pretvarja vhode za
doseganje rezultata
[VIR: ISO 9000:2015, 3.4.1 , spremenjen – odstranjene so bile opombe]
3.1.28
zapis
informacije, ki jih organizacija ali oseba ustvari, prejme in hrani kot dokaz in sredstvo (3.1.2) za
izpolnjevanje zakonskih obveznosti ali pri poslovni transakciji
OPOMBA: Zakonske obveznosti v tem smislu vključujejo vse pravne, zakonske, regulativne in pogodbene zahteve.
[VIR: ISO 15489-1:2016, 3.14, spremenjen – dodana je bila opomba]
3.1.29
ciljna točka obnovitve
RPO
točka, do katere je treba podatke obnoviti po pojavu motnje (3.1.9)
[VIR: ISO/IEC 27031:2011, 3.12, spremenjen – izraz "morati" je zamenjan z izrazom "je treba"]
3.1.30
ciljni čas obnovitve
RTO
časovno obdobje, v katerem je treba obnoviti najmanjše zahtevane stopnje storitev in/ali izdelkov ter
podpornih sistemov, aplikacij ali funkcij po pojavu motnje (3.1.9)
[VIR: ISO/IEC 27031:2011, 3.13 , spremenjen – izraz "morati" je zamenjan z izrazom "je treba"]
3.1.31
zanesljivost
skupek doslednega predvidenega vedenja in rezultatov
3.1.32
pravilo
sprejeto načelo ali navodilo, ki na
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...